Müşteri Tanıma Kuralı (KYC) ve Dağıtık Defter Teknolojileri (Block - Chain))


Öncelikle “dağıtık defter teknolojileri” terimi kullanma konusundaki ısrarımı ifade etmek isterim. Bu, block-chain - kripto para ikilisine ilişkin algının birlikte yürümesi nedeniyle yaşanan olumsuz havanın ötesinde saf (pure) “block-chain”in anonim bir yapı niteliği taşırken “dağıtık defter teknolojileri”nin daha çok özel ağlar “private network” şeklinde kurgulanıyor olmasından kaynaklanıyor. Takdir edilir ki, özellikle finans alanındaki uygulamalarda anonim bir ağ üzerinde hangi konsensüs yöntemi kullanılıyor olursa olsun kripto para dünyasındaki gibi bir anonimite söz olmayacaktır. Keza finansal piyasalara giriş o veya bu şekilde hemen her ülkede bir otoritenin izni ya da yetkilendirmesine bağlı olarak gelişmektedir. Bu anlamda olmak üzere, literatürde de bu yöndeki ifade birliğini göz önüne alarak, block–chain ya da blok zincir yerine dağıtık defter teknolojileri ifadesinin daha doğru olduğunu düşünüyorum.

Finansal sektördeki en sıkıntılı ve hassas düzenlemelerin başında mali suçlara ilişkin düzenlemeler geliyor. Bu sadece ülkemiz değil aynı zamanda tüm dünya için geçerli. Özellikle FATF (Financial Action Task Force) tarafından en çok eleştiri konusu edilen hususun “müşteriyi tanıma kuralı”na (know your customer, KYC) ilişkin standartların bir türlü istenen seviyeye gelememiş olduğu dikkate alınırsa, bu yükümlülüğün finansal sektördeki tüm kuruluşlar açısından taşıdığı önem daha da netleşecektir.

Müşteriyi tanıma kuralı sadece mali suçlar mevzuatı açısından değil aynı zamanda yatırım şirketleri açısından sermaye piyasası mevzuatı kapsamında da bazı yükümlülükleri beraberinde getiriyor. En önemli yükümlülük ise hesap açılışı sırasında kimlik ve adres bilgilerinin teyidi, buna ilişkin belgelerin temin edilmesi ve saklanması. Bu hem finansal kuruluşlar hem de yatırımcılar açısından bir yük olmakla birlikte gerek ulusal gerekse de uluslararası sistemde kara paranın aklanması ve terörizmin finansmanının engellenmesi çalışmalarında en önemli kontrol noktalarından birisi. Bununla birlikte her kurumun kendi müşteri tanıma sürecini işletmesi ve sürece ilişkin bilgi ve belgelerin her hesap açılışında tekrar tekrar sağlanma zorunluluğu hem hesap açılış süresinin uzatıyor hem de müşteriler nezdinde ciddi hoşnutsuzluklara neden oluyor. Kaldı ki sürecin her finansal kuruluşta tekrarlanması hem maliyetlerin artması hem de ekonomik olarak da kıt kaynakların etkin kullanılmaması ile sonuçlanıyor.

Hülasa, müşteri tanıma sürecinin sadece ülkemizde değil aynı zamanda global olarak da etkinsizliğe neden olduğu bir gerçek. Uluslararası alanda yapılan çalışmalar KYC ve kara paranın aklanması süreçlerinin maliyetinin hiç de azımsanmayacak seviyede olduğunu gösteriyor. Hatta öyle ki, bir çalışmada her ortalama bankanın yıllık olarak 500 milyon USD tutarında bir maliyete katlandığı, Asya bölgesinde 2017 yılında yapılan bir araştırmada ise araştırmaya katılan 6 bankanın söz konusu süreçleri yönetmek için harcadıkları tutarın yıllık 1,5 milyar dolar olarak tahmin edildiğine yer veriyor[1].

Her ne kadar ülkemizde uygulanmakta olan ve müşteri tanıma kuralına ilişkin esasları belirleyen Tedbirler Yönetmeliğinde “üçüncü tarafa güven ilkesi” benimsenmiş olsa da söz konusu kolaylaştırıcı yöntemin bir türlü uygulanamadığı da açık. Üçüncü tarafa güven ilkesi, çok kabaca, bir finansal kuruluşa başvuran müşterinin daha önce başka bir finansal kuruluşun müşterisi olması halinde, belirli şartlarda, ikinci finansal kuruluş tarafından ilk finansal kuruluşun bu yükümlülükleri sağladığı varsayımı ile müşteri tanıma sürecini uygulamaması demek. Bu ilkeden yararlanabilmek için en temel gereklilik ise kamu otoritesi tarafından talep edilmesi halinde kimlik ve adres teyidine ilişkin belgelerin güvenilen üçüncü taraf niteliğindeki finansal kuruluştan temin edilebilmesidir.

Peki dağıtık defter teknolojileri bunun neresinde. Aslında tüm bu müşteri tanıma ve dokümantasyon temin yükümlülüğünü dağıtık defter teknolojisi vasıtası ile kurgulamak mümkün. Dağıtık defter teknolojilerinin müşteri tanıma sürecinde kullanımına ilişkin onlarca makale olduğu merak edenler tarafından yakından biliniyor. Bu aynı zamanda ülkemiz açısından Tedbirler Yönetmeliğinin üçüncü tarafa güven ilkesinin de kolaylıkla işletilebileceği, tüm finansal kuruluşların yasal yükümlülüklerini yerine getirmede maliyet ve zaman avantajı sağlayacağı, finansal kuruluş müşterilerinin de bilgi ve belge temini konusundaki isteksizliklerini ortadan kaldıracak bir model olabilir.

KYC sürecinin DLT üzerinden kurgulanması aynı zaman finansal sistemdeki her müşteri için bir dijital kimlik üretilmesini de beraberinde getiriyor. Bu dijital kimliğin diğer alanlarda ve özellikle akıllı kontratlar ile de farklı kullanımlara imkân sağlayacak nitelikte olacağı sanırım tartışmadan uzaktır.

Müşteriyi tanıma sürecini DLT’ye aktarabilmek için modellemeyi detayları ile burada paylaşmak gereksiz kaçabilir. Ancak süreç çok kabaca ilk aşamada müşterinin, müşteri tanıma kuralı çerçevesinde istenen dokümanları sistemde yer alan bir finansal kuruluşa getirmesi ile başlıyor. Söz konusu finansal kuruluş kendisine temin edilen dokümanlar üzerinden gerekli müşteri tanıma sürecini işletir, bir kopyasını kendi sistemine kaydederken müşteri numarası ve dokümanlarını “hash”leyerek dağıtık deftere (DLT, block-chain) kaydeder ve müşteri dijital kimlik bilgisini müşteri ile paylaşır. Müşteri eğer yeni bir finansal kuruluşta hesap açmak isterse bu kez yapması gereken tek şey sadece dijital kimliğini yeni finansal kuruluş ile paylaşmasıdır. Yeni finansal kuruluş müşteri dijital kimliği ile halihazırda sistem üzerinde kayıtlı olan “hash”lenmiş dosyaya ulaşarak aynı evrak üzerinden müşteri tanıma sürecini işletir. Eğer arzu ederse bir örneğini kendi sistemine kopyalar.

Burada en önemli unsur maliyetin nasıl paylaşılacağı. Bunu da şöyle kurgulamak mümkün. Sistemde mevcut belgeler üzerinden müşteri tanıma sürecinin işletilmek istenmesi durumunda, DLT üzerinden ilk “hash”lemeyi yapan finansal kuruluşa yapmış olduğu maliyetten kendisine düşen payını ödemesi yeterli olacaktır. Çok kabaca ifade etmek gerekirse m maliyet ve k finansal kuruluş sayısı ise; m/k tutarını ödemesi gerekecektir[2]. Sistemde yer alan akıllı kontrat ödemenin yapıldığını teyit ettikten sonra daha önce müşterinin “hash”lenmiş olan dokümanlarına ulaşma ve bir kopyasını kendi sistemine kaydetme imkanına sahip olacaktır.

Peki bu sistemin herhangi bir veri setinden farkı nedir sorusu akla gelebilir. Bu soruya verilebilecek ilk cevap sistemde yer alan tüm tanımlanmış müşteri bilgisinin hemen her node (sisteme bağlı finansal kuruluş) nezdinde bulunmasıdır. Bir başka ifadeyle tek bir merkezde bulunan veri setlerinin karşı karşıya kaldığı gerek operasyonel gerekse de dış tehditler bu yapıda söz konusu olmayacaktır. Keza herhangi bir müşteri bilgisinin manipüle edilebilmesi ancak müşteriye tanınan dijital kimlik bilgisi ve “hash”lenmiş olan doküman setinin değiştirilmesi ile mümkündür. Bu anlamda dağıtık defter teknolojilerinin “tek gerçek kaynak” (single source of truth) özelliğini bu kurgu için de geçerli olacaktır.

Müşteri tanıma sürecinin DLT üzerine aktarılmasına ilişkin faydayı akıllı kontratlar ile artırmak da mümkündür diye düşünüyorum. Örneğin, kullanılacak, ya da bir önceki müşteri tanıma sürecinde kullanılacak olana eklemlenecek bir akıllı kontrat ile ulusal ya da uluslararası alanda (BM Güvenlik Konseyi gibi) yasaklanmış ya da tedbir uygulanmış kişi ve kurumların sisteme girmek istemesi durumunda kontrolünü sağlamak da mümkün olabilecektir.

Dağıtık defterin farklı yaklaşımlarla kurgulanması da mümkün. Örneğin söz konusu defter doğrudan kamu kurumunun hazırlayacağı bir “fabric layer” üzerinde oturabileceği gibi tamamen anonim (daha doğrusu finansal kuruluşlar arası) bir yapıda da oluşturulabilir. Sistemde “gizlilik" konusunda da bir sıkıntı olmayacaktır . Müşteriye dijital imzayı veren ve dokümanları ilk kez “hash”leyen ve/veya daha sonra sistemde “hash”lenmiş dokümanlar üzerinden müşteriyi tanıma sürecini işleten her finansal kuruluşun kimliğini gizlemek de mümkün. Bu, müşterilerin hangi finansal kuruluşlar nezdinde hesaplarının bulunduğu konusunda gizliliği sağlayacaktır. Ayrıca bu kurguyu müşterilerin mali durumlarına ilişkin bilgilerin toplanması ile karıştırmamak gerekir. Keza DLT sadece müşteri tanıma sürecinde kullanılan dokümanları saklayacak, söz konusu müşterinin mali bilgileri konusunda herhangi bir bilgi içermeyecektir. Örnekleri ve kullanım alternatiflerini artırmak mümkün. Çok sevdiğim bir deyiştir, “teknoloji sadece sizin hayal gücünüzle sınırlıdır” ifadesi.

Son olarak, bildiğiniz üzere Türkiye’de, en azından yatırım hizmetleri açısından, hesap açım merkezi “Merkezi Kayıt Kuruluşu”. Bu anlamda olmak üzere MKK önderliğinde başlatılacak bir modelleme başarıya ulaşacaktır diye düşünüyorum. Belki bu sayede hem yatırımcılar hem de sektör açısından faydalı bir işe imza atılmış olur. Özellikle bu sisteme bankaların da dahil edilebilmesi, finansal sistemde müşteri tanıma sürecine ciddi anlamda bir etkinlik katacaktır.

[1]Uncover the True Cost of Anti-Money Laundering & KYC Compliance, LexisNexis

https://www.lexisnexis.com/risk/intl/en/resources/research/true-cost-of-aml-compliance-apac-survey-report.pdf

[2] Jos´e Parra-Moyano and Omri Ross, KYC Optimization Using Distributed Ledger Technology, Ağustos 2017, https://ssrn.com/abstract=2897788